简介 OpenVPN是一个功能齐全的SSLVPN,它使用行业标准SSLTLS协议实现OSI第2层或第3层安全网络扩展,支持基于证书、智能卡和或用户名密码凭据的灵活客户端身份验证方法,并允许用户或使用应用于VPN虚拟接口的防火墙规则的特定于组的访问控制策略。应用场景 在家庭网络中有动态公网IP的前提下,当我们在外部,想要访问家庭内部网络。一般可以通过路由器端口映射的方式进行,通过动态公网IP和映射的指定端口,来访问家庭内部网络环境中的一些网络服务。在把家庭网络环境中的服务直接暴露在公网环境下,可能会对家庭内部网络造成安全隐患。 内部系统可能会存在一些漏洞未能及时修复,造成网络安全问题。这些漏洞为黑客们提供了各种机会,绝大多数非法入侵、木马、病毒都是通过漏洞来突破网络安全防线的。 因此我们在考虑网络安全因素下,家庭网络环境对外访问只通过VPN服务进行访问,对外暴露服务只暴露VPN服务即可。从而保证有效提高了我们家庭内部网络环境的安全性。硬件环境 树莓派3B CPU主频 1。4GHz 核心数量 4核 线程数量 4线程 核心架构 BCM 树莓派3B所用的BCM2835是基于ARMv732位架构的4核心ARMv7Processorrev4(v7l)处理器 虽然树莓派3B的硬件支持64位的系统,但是官方的系统还是32位的,主要应该是为了兼容之前的硬件安装openvpn和easyrsasudoaptgetinstallyeasyrsasudoaptgetinstallyopenvpneasyrsa包提供证书生成脚本、模板配置文件等创建相关目录openvpn就是我们今天要安装的包了升级easyrsa为v3。0。8版本 树莓派中的easyrsa源安装的版本为v2。x。x,要把版本升级到v3。0。8。由于树莓派系统是基于Debian创建新的分支系统,我们可以使用Debian系统版本中的deb安装包,来安装easyrsav3。0。8 使用https:pkgs。org下载deb安装包,树莓派是ARM架构 点击easyrsa3。0。81all。deb打开下载页面 复制下载地址,使用wget下载文件wgethttp:ftp。de。debian。orgdebianpoolmaineeasyrsaeasyrsa3。0。81all。deb 安装easyrsa3。0。81all。deb文件dpkgieasyrsa3。0。81all。deb配置证书密钥复制easyrsa配置信息sudocprfusrshareeasyrsa3。0。8etcopenvpnservereasyrsasudocprfusrshareeasyrsaetcopenvpnservereasyrsacdetcopenvpnservereasyrsa编辑vars文件vimvars国家setvarEASYRSAREQCOUNTRYCN地区setvarEASYRSAREQPROVINCEShandong城市setvarEASYRSAREQCITYJinan组织setvarEASYRSAREQORGNilorgCA邮箱setvarEASYRSAREQEMAILxudeyi1998。qq。com拥有者setvarEASYRSAREQOUHome使变量生效source。vars生成CA根证书cdetcopenvpnservereasyrsasudo。easyrsainitpkisudo。easyrsabuildcanopass initpki:初始化,创建pki文件夹,用来存放即将生成的证书生成OpenVPN服务器客户端证书和密钥生成服务端证书,nopass参数设定证书无密码sudo。easyrsabuildserverfullservernopass生成客户端证书,nopass参数设定证书无密码sudo。easyrsabuildclientfullclient1nopass创建DiffieHellmansudo。easyrsagendh生成ta。keyopenvpngenkeysecretta。keybuildserverfull:生成服务端客户端证书DiffieHellman,迪菲赫尔曼密钥交换是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。ta。key用于防御DoS、UDP淹没等恶意攻击。配置OpenVPN服务端复制配置文件server。conf如果server。conf不存在,需要对目录下的cpusrsharedocopenvpnexamplessampleconfigfilesserver。confetcopenvpn复制证书及密钥文件 然后将CA的证书,VPNServer的证书和密钥,以及DiffieHellman参数文件复制到etcopenvpnserver目录下cpetcopenvpnservereasyrsapkica。crtetcopenvpnservercpetcopenvpnservereasyrsapkiissuedserver。crtetcopenvpnservercpetcopenvpnservereasyrsapkiprivateserver。keyetcopenvpnservercpetcopenvpnservereasyrsapkidh。pemetcopenvpnserver编辑配置文件 编辑server。conf配置,去除无用配置项local0。0。0。0port1194prototcpdevtapdevtuncaetcopenvpnservereasyrsapkica。crtcertetcopenvpnservereasyrsapkiissuedserver。crtkeyetcopenvpnservereasyrsapkiprivateserver。keydhetcopenvpnservereasyrsadh。pemserver10。8。0。0255。255。255。0ifconfigpoolpersistetcopenvpnserveripp。txtpushroute192。168。0。0255。255。255。0Ifenabled,thisdirectivewillconfigureallclientstoredirecttheirdefaultnetworkgatewaythroughtheVPN,causingallIPtrafficsuchaswebbrowsingandandDNSlookupstogothroughtheVPN(TheOpenVPNservermachinemayneedtoNATorbridgetheTUNTAPinterfacetotheinternetinorderforthistoworkproperly)。pushredirectgatewaydef1bypassdhcppushdhcpoptionDNS208。67。222。222pushdhcpoptionDNS208。67。220。220clienttoclientkeepalive10120ForextrasecuritybeyondthatprovidedbySSLTLS,createanHMACfirewalltohelpblockDoSattacksandUDPportflooding。Generatewith:openvpngenkeysecretta。keyTheserverandeachclientmusthaveacopyofthiskey。Thesecondparametershouldbe0ontheserverand1ontheclients。tlsauthetcopenvpnserverta。key0ThisfileissecretSelectacryptographiccipher。Thisconfigitemmustbecopiedtotheclientconfigfileaswell。Notethat2。4clientserverwillautomaticallynegotiateAES256GCMinTLSmode。SeealsothencpcipheroptioninthemanpagecipherAES256CBCcomplzomaxclients100persistkeypersisttunstatusvarlogopenvpnstatus。loglogvarlogopenvpnopenvpn。loglogappendvarlogopenvpnopenvpn。logverb3mute20配置iptables 配置iptables设置nat规则和打开路由转发iptablestnatAPOSTROUTINGs10。8。0。024jMASQUERADEiptablesvnLtnat打开路由转发vimetcsysctl。conf修改net。ipv4。ipforwardnet。ipv4。ipforward1sysctlp验证服务systemctlstatusopenvpnserver。servicesystemctlrestartopenvpnserver。service配置OpenVPN客户端复制配置文件创建客户端配置文件mkdirpopenvpnclient1client。conf如果client。conf不存在,需要对目录下的cpusrsharedocopenvpnexamplessampleconfigfilesclient。confopenvpnclient1client1。ovpn复制证书及密钥文件 然后将CA的证书、客户端的证书和密钥,以及DiffieHellman参数文件复制到openvpnclient1目录下cpetcopenvpnservereasyrsapkica。crtopenvpnclient1ca。crtcpetcopenvpnservereasyrsata。keyopenvpnclient1ta。keycpetcopenvpnservereasyrsapkiprivateclient1。keyopenvpnclient1client1。keycpetcopenvpnservereasyrsapkiissuedclient1。crtopenvpnclient1client1。crt编辑配置文件 编辑client1。ovpn配置,去除无用配置项clientdevtunprototcpremote服务器端IP服务器端端口remote192。168。xx。xx1194resolvretryinfiniteMostclientsdontneedtobindtoaspecificlocalportnumber。nobindpersistkeypersisttuncaca。crtcertclient1。crtkeyclient1。keyremotecerttlsservertlsauthta。key1complzoverb5不拉取服务端路由配置,可选可不选。routenopull指定访问哪些网段走vpn隧道route192。168。0。0255。255。0。0vpngateway打包客户端配置文件cdopenvpntarzcvfclient1。tar。gz。client1使用OpenVPNConnect客户端 使用OpenVPNConnect客户端连接服务
克里姆林宫要求官员停止使用iPhone美国油价创2021年来最低水平01克里姆林宫要求官员停止使用iPhone据俄罗斯商业日报报道,因为担心这些设备容易被西方情报机构窃取,克里姆林宫要求参与俄罗斯2024年总统选举准备工作的官员停止使用苹果iPho有一种叫云南的生活丨赢麻了!昆明连绿化带里都是春天昆明的绿化带那可是五彩斑斓每个季节不重样蔷薇月季玫瑰三色堇雏菊虞美人兰花这些被游客纷纷买回家中装饰的鲜花大片绽放在昆明绿化带里耀眼夺目,美不胜收昆明绿化带里种植了哪些鲜花最具代表性古人退休制度怎么样?明朝不发退休金,官员从商卖字各找出路我是狼君,一个陪您读历史的工科小伙儿退休后待遇怎么样?这时从古至今都长盛不衰的话题,那你好不好奇古代人的退休生活呢,古代人的退休生活,还真没有我们现代人有保障和有乐趣。古代人的退休大快人心!辽宁大老虎姜宏阁被查,涉嫌严重违纪违法清风扶正气,廉字值千金。做人最注重的就是名声,一个人的名声要是坏了,那么这个人的信誉也会大打折扣。官员如果平时为官清廉,爱民如子,那么也必定会受百姓所爱戴。反之,如果一个官员平时利元朝时期的蒙古帝国是如何统治中国的?头条创作挑战赛元朝是由蒙古族人建立的,他们在统治中国时采用了一系列政治经济和军事手段。首先,蒙古帝国通过建立行省和路灯制度来管理中国各地。行省是大区域的行政单位,而路灯则是小区域的谁来养活中国?中国已给出确定答案3月18日,参观者和展商在展会上交流。当日,第十四届中国国际种业博览会暨第十九届全国种子信息交流与产品交易会在天津市开幕。新华社记者赵子硕摄新华社天津3月20日电题谁来养活中国?中中国移动5G亚运之队启动亚洲飞人苏炳添成首位成员中国移动5G亚运之队首位成员苏炳添出席活动。主办方供图中国青年报客户端杭州3月21日电(中青报中青网记者梁璇)中国移动321春分计划暨5G亚运之队今天在杭州奥林匹克体育中心启动。作这8位独自带娃的女星,有人未婚先孕,有人不公开孩子的生父是谁单身男女未婚先孕,在这个时代,已经是很正常的事情了。不过近日,任家萱未婚怀孕的新闻闹得沸沸扬扬,对于孩子生父,引起了人们的好奇。其实历来,未婚怀孕生子的女星们反而不少,有的人命运多1993年中国禁片,尺度之大令人咂舌提起谢晋,知道他的人一定不会错过他执导的多部经典电影作品,如芙蓉镇高山下的花环牧马人等。作为中国导演领域的尊师级人物,谢晋的电影代表着不同时代的变革,能让观众看到当时人们很真实的生广西色虎6年直升副省级,包养4个情妇,被情妇老公打成脑震荡6年内直升副省级,包养4个情妇,私会时被捉奸被情妇老公打成脑震荡!那些仗势欺人,为非作歹的官员,自古以来,都是被人津津乐道的谈资!我们国家大力倡导清正廉洁,但是很多人并没有意识到这chatgpt养生,科学养生,事关熬夜皮肤皱纹如果您有什么问题想问gpt,欢迎在评论区留言,下期答复。问吃什么有助于睡眠有些食物可以帮助促进睡眠,以下是一些可能有帮助的食物香蕉香蕉含有富含镁和钾的成分,这两种成分有助于放松肌肉